Algumas vulnerabilidades foram detectadas no software gerenciador de listas de endereço eletrônico, Mailman, cujas características permitem que sejam inseridos scripts e HTML arbitrário, facilitando a ação de usuários maliciosos para realizar ataques Cross-Site Scripting (XSS). Os dados dessa ocorrência constam em um Boletim liberado pela especialista em segurança, Secunia.
As informações passados no campo "full name" não são tratadas de maneira adequada antes de serem utilizadas nas páginas "Confirm unsubscription request", "Confirm change of email address request" e "Re-enable mailing list membership". A falha é encontrada nas versões 2.1.14, mas versões anteriores também podem ter sido afetadas. Um patch de correção já foi liberado, para que possa ser sanado o problema.
Saiba Mais:
[1] Help Net Security: http://www.net-security.org/secworld.php?id=10640
[2] Secunia Advisory: http://secunia.com/advisories/43389
-
Falhas no Mailman Possibilitam Inserção de Código Arbitrário
Publicado em 22-02-2011 17:530 Comentários
+ Enviar Comentário